CVE-2026-0257: Vulnerabilidad en PAN-OS Permite Explotación Activa
Publicado el
CVE-2026-0257: Vulnerabilidad Crítica en PAN-OS
Palo Alto Networks ha emitido una advertencia sobre una vulnerabilidad de gravedad media en sus sistemas PAN-OS y Prisma Access, identificada como CVE-2026-0257. Con un puntaje CVSS de 7.8, esta falla permite a los atacantes eludir las restricciones de seguridad y establecer conexiones VPN no autorizadas.
La vulnerabilidad afecta específicamente a los firewalls que tienen configurados los portales y gateways de GlobalProtect, especialmente cuando la opción de override de autenticación está habilitada y se utiliza una configuración de certificado particular. La empresa detalló en un aviso del 13 de mayo de 2026 que esta brecha de seguridad puede ser utilizada por actores maliciosos para comprometer redes internas.
Explotación Activa
Desde su divulgación, Palo Alto Networks ha observado intentos de explotación en dispositivos PAN-OS sin parches aplicados. Según un informe de Rapid7, se identificaron casos exitosos de explotación que comenzaron el 17 de mayo de 2026, con una segunda oleada el 21 de mayo. Ambas series de intentos se atribuyen al mismo actor de amenazas. En la segunda oleada, se registró la asignación de IP de VPN tras la autenticación por cookie, permitiendo acceso a la red interna.
Rapid7 destacó que la explotación de esta vulnerabilidad puede tener un impacto significativo en las organizaciones afectadas. Por lo tanto, se recomienda encarecidamente que las empresas que operan dispositivos vulnerables apliquen los parches proporcionados por el proveedor lo antes posible.
Recomendaciones de Mitigación
Como medidas temporales, Palo Alto Networks sugiere deshabilitar la función de override de autenticación o generar un nuevo certificado exclusivo para esta característica. Estas acciones pueden ayudar a mitigar el riesgo de explotación mientras se espera la implementación de una solución definitiva.
Esta situación se agrava por la reciente explotación de otra vulnerabilidad crítica en FortiClient Endpoint Management Server (CVE-2026-35616), que permite la entrega de malware de robo de credenciales. Las organizaciones deben estar en alerta y adoptar medidas preventivas para proteger sus infraestructuras frente a estas amenazas.
La comunidad de ciberseguridad debe monitorear de cerca la evolución de esta situación y seguir las recomendaciones de los expertos para asegurar sus sistemas contra posibles brechas de seguridad.